Les autorités chargées de l’application de la loi ont démantelé un botnet qui a infecté des milliers de routeurs au cours des 20 dernières années pour construire deux réseaux de proxys résidentiels connus sous le nom de Anyproxy et 5socks.
Le département de la Justice des États-Unis a également inculpé trois ressortissants russes (Alexey Viktorovich Chertkov, Kirill Vladimirovich Morozov et Aleksandr Aleksandrovich Shishkin) et un Kazakh (Dmitriy Rubtsov) pour leur implication dans l’exploitation, le maintien et le profit de ces deux services illégaux.
Au cours de cette action conjointe baptisée « Opération Moonlander », les autorités américaines ont travaillé avec des procureurs et des enquêteurs de la Police nationale néerlandaise, du Ministère public néerlandais (Openbaar Ministerie) et de la Police Royale thaïlandaise, ainsi qu’avec des analystes des laboratoires Black Lotus de Lumen Technologies.
Des documents judiciaires montrent que le botnet maintenant démantelé a infecté d’anciens routeurs Internet sans fil dans le monde entier avec des logiciels malveillants depuis au moins 2004, permettant à un accès non autorisé à des appareils compromis d’être vendus en tant que serveurs proxy sur Anyproxy.net et 5socks.net. Les deux domaines étaient gérés par une société basée en Virginie et hébergés sur des serveurs dans le monde entier.
« Les contrôleurs de botnet ont besoin de crypto-monnaie pour le paiement. Les utilisateurs sont autorisés à se connecter directement avec des proxys sans authentification, ce qui, comme documenté dans des cas précédents, peut conduire à un large éventail d’acteurs malveillants obtenant un accès gratuit », a déclaré Black Lotus Labs.
« Compte tenu de la gamme de sources, seulement environ 10% sont détectés comme malveillants dans des outils populaires tels que VirusTotal, ce qui signifie qu’ils évitent systématiquement les outils de surveillance du réseau avec un degré de succès élevé. De tels proxys sont conçus pour aider à dissimuler une gamme d’activités illicites, notamment la fraude publicitaire, les attaques DDoS, le forçage brutal ou l’exploitation des données de la victime. »
Leurs utilisateurs payaient un abonnement mensuel allant de 9,95 to à 110 month par mois, selon les services demandés. « Le slogan du site Web, » Travailler depuis 2004!, « indique que le service est disponible depuis plus de 20 ans », a déclaré aujourd’hui le ministère de la Justice.
Les quatre accusés ont annoncé les deux services (faisant la promotion de plus de 7 000 procurations) en tant que services proxy résidentiels sur divers sites Web, y compris ceux utilisés par des cybercriminels, et ils auraient collecté plus de 46 millions de dollars en vendant des abonnements donnant accès aux routeurs infectés faisant partie du botnet Anyproxy.
Ils ont opéré le Anyproxy.net et 5socks.net sites Web utilisant des serveurs enregistrés et hébergés chez JCS Fedora Communications, un fournisseur d’hébergement Internet russe. Ils ont également utilisé des serveurs aux Pays-Bas, en Turquie et ailleurs pour gérer le botnet Anyproxy et les deux sites Web.
Ils ont tous été accusés de complot et de dommages causés à des ordinateurs protégés, tandis que Chertkov et Rubtsov ont également été accusés d’avoir faussement enregistré un nom de domaine.
Ciblage des routeurs en fin de vie (EoL)
Mercredi, le FBI a également publié un avis éclair et un message d’intérêt public avertissant que ce botnet ciblait les routeurs de fin de vie des correctifs (EoL) avec une variante du malware TheMoon.
Le FBI a averti que les attaquants installaient des proxys utilisés plus tard pour échapper à la détection lors d’activités de cybercriminalité pour compte d’autrui, d’attaques de vol de crypto-monnaie et d’autres opérations illégales.
La liste des périphériques couramment ciblés par le botnet comprend les modèles de routeurs Linksys et Cisco, notamment:
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
- Linksys WRT320N, WRT310N, WRT610N
- Cisco M10 and Cradlepoint E100
« Récemment, certains routeurs en fin de vie, avec l’administration à distance activée, ont été identifiés comme compromis par une nouvelle variante du malware TheMoon. Ce logiciel malveillant permet aux cyberacteurs d’installer des proxys sur des routeurs victimes sans méfiance et de mener des cybercrimes de manière anonyme », a déclaré le FBI.
« De tels services proxy résidentiels sont particulièrement utiles aux pirates criminels pour fournir l’anonymat lorsqu’ils commettent des cybercrimes; les adresses IP résidentielles-par opposition aux adresses commerciales—sont généralement considérées par les services de sécurité Internet comme étant beaucoup plus susceptibles d’être du trafic légitime », a ajouté l’acte d’accusation d’aujourd’hui. « De cette façon, les conspirateurs ont obtenu un gain financier privé de la vente de l’accès aux routeurs compromis. »